Depuis quelques mois, la consultation de tout site internet implique pour l’utilisateur une procédure plus ou moins complexe et chronophage de validation et d’autorisation de cookies, traceurs, et autres acceptations de partenaires.
La Directive e-Privacy qui vient d’entrer en vigueur a pour objet principal le recueil – et la preuve – du consentement de l’utilisateur final avant toute opération d’écriture ou de lecture de cookies et autres traceurs.
En France, le dispositif est encadré par la CNIL. Elle en décrit les règles d’application dans ses lignes directrices du 17 septembre 2020 et accompagne les entreprises vers leur mise en conformité.
En tant que fournisseurs de solutions de communication via internet, nous sommes interrogés par nos clients sur la conformité avec “le RGPD” des solutions que nous mettons à leur disposition.
Le recueil du consentement doit être facilité par une information claire et simple à comprendre par tout utilisateur sur les finalités des traceurs et cookies.
Ainsi, le consentement doit être :
- préalable au dépôt et/ou à la lecture de cookies
- spécifique à chaque finalité
- libre : son refus ne doit pas porter préjudice à l’utilisateur
- univoque : il doit être exprimé clairement par l’utilisateur, en pleine connaissance des conséquences de sa décision
- réversible : il doit pouvoir être retiré à tout moment et en toute simplicité
Attention, l’acceptation de conditions générales d’utilisation ou de vente ne vaut pas consentement à l’utilisation de cookies et traceurs !
Pour le confort de l’utilisateur, il est possible de proposer deux niveaux de consentement : un général, et un détaillant chacune des finalités.
Qu’est-ce qu’un cookie / traceur ?
C’est un petit fichier déposé par un serveur sur le terminal (quel qu’il soit) d’un utilisateur lors de la consultation d’un site web, d’une application mobile, voire lors du chargement ou de l’utilisation d’un logiciel ou d’une API. Associé au domaine web du site, il enregistre le comportement de navigation de l’utilisateur et peut ainsi être lu lors d’une nouvelle consultation du site.
Il peut aussi être transféré à d’autres domaines (cookie-tiers), même si cette pratique est susceptible de disparaître.
Les cookies peuvent être utilisés pour mémoriser un identifiant client ou le contenu d’un panier d’achat, mémoriser les préférences linguistiques, tracer la navigation à des fins statistiques ou publicitaires etc.
Voici la liste des cookies et traceurs soumis et exemptés de consentement telle que définie par la CNIL :
Les cookies et traceurs soumis à consentement :
- cookies liés à la publicité ciblée
- cookies des réseaux sociaux, notamment générés par leurs boutons de partage
Les cookies et traceurs exemptés de consentement :
- traceurs conservant le choix exprimé par les utilisateurs sur le dépôt de traceurs
- traceurs d’authentification et de sécurisation du mécanisme d’authentification
- traceurs de personnalisation de l’interface utilisateur (si intrinsèques et attendus du service)
- traceurs permettant l’équilibrage de la charge des équipements liés au service
Certains traceurs de mesure d’audience sont exempts de consentement sous conditions :
- avoir une finalité strictement limitée à la seule mesure de l’audience du site ou de l’application pour le compte exclusif de l’éditeur
- servir à produire des données statistiques anonymes uniquement
- traceurs destinés à garder en mémoire le contenu d’un panier d’achat sur un site marchand ou à facturer, à l’utilisateur, le(s) produit(s) et/ou service(s) acheté(s)
- traceurs permettant aux sites payants de limiter l’accès gratuit à un échantillon de contenu demandé par les utilisateurs (quantité prédéfinie et/ou sur une période limitée)
La durée de vie des traceurs et la conservation des données doivent être limitées (maximum 25 mois) et les données collectées ne doivent pas être réutilisées.
Les traitements des données personnelles associés à ces traceurs restent soumis au RGPD.
En résumé, voici les étapes de la démarche de mise en conformité à la Directive e-Privacy :
- définition des traceurs essentiels au fonctionnement de la solution dans son environnement. Même non soumis au consentement, ils peuvent faire l’objet d’une information de l’utilisateur
- définition des cookies et des traceurs soumis au consentement, notamment ceux liés à des fonctionnalités de partage sur les réseaux sociaux
- élaboration du contenu informatif à destination des utilisateurs et du formulaire de consentement, à élaborer en suivant les modalités définies par la CNIL
- en cas de mesure d’audience exemptée de consentement, possibilité (ce n’est pas une obligation) de la faire valider par la CNIL avant le 30 juin 2021.
- dépôt des preuves de l’obtention du consentement
Qu’en est-il des interfaces de diffusion de vidéos et des vidéos elles-mêmes ?
Il est de la responsabilité des concepteurs de sites ou d’applications de mettre en place un recueil de consentement et d’enregistrer la preuve de ce recueil. Lorsque le consentement est refusé, ils doivent garantir un fonctionnement sans cookies ni traceurs;
Les vidéos YouTube ou Dailymotion déposent des cookies et traceurs soumis à consentement. Si ces vidéos sont visibles par un internaute qui n’a pas donné son accord, alors le site est en infraction avec le RGPD. Le site devrait masquer les vidéos ou utiliser un code d’intégration spécifique qui désactive les cookies.
Par exemple, le site de France Inter force à accepter les cookies publicitaires pour voir les vidéos de YouTube qu’elle intègre… C’est la contrepartie de ne pas vouloir payer un service vidéo professionnel (éventuellement français et neutre en carbone) :
Les vidéos Streamlike n’embarquent aucun cookie ou traceur soumis à consentement. Elles sont donc totalement compatibles avec les règles renforcées du RGPD… et elles sont neutres en carbone !